標的型攻撃メールの事例とは?実際に使われたサンプルも含めて解説

この記事は約8分で読めます。

情報セキュリティを守ることは企業にとって重要な課題となりました。ITシステムの構築ではセキュリティ対策を欠かさず、脆弱性が発見されれば直ちに対応を行うことがセキュリティ担当者には求められます。 

しかし、万全を期したセキュリティ対策も標的型攻撃を受けることにより内側から崩されてしまう可能性があります。標的型攻撃はメールを起点とすることが多く、その文面は徐々に精度が高まり見分けづらく進化しています。 

本記事では、標的型攻撃のメールの事例、サンプルについてご紹介します。情報セキュリティへの備えとしてご利用いただければ幸いです。 

標的型攻撃についておさらい

​標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃です。無差別なウイルス感染を狙うような手口とは一線を画しており、 価値の高い情報を保有する相手をターゲットとします。特に狙いすました攻撃によるフィッシングは、銛や水中銃による狩りを示すスピアフィッシングとも呼ばれます。 

標的型攻撃は価値のある対象を絞って攻撃を行う特徴から、手間のかかる大がかりなものであることが多く、背後に国家や関連機関が関わっている場合もあるとされます。Operation Aurora(オペレーションオーロラ、オーロラ作戦)では、関連マルウェアが中国政府とつながりのある人物により作成されており、関与の可能性が指摘されました。オペレーションオーロラについては事例にてより詳細に記載しています。 

標的型攻撃の手口

標的型攻撃の初期段階には、メールが多く用いられます。メールを取り掛かりとして、添付ファイルからのマルウェア感染マルウェア感染に繋がるURLへの誘導フィッシングサイトへの誘導などを行います。 

  • 脆弱性を突く添付ファイルなどを対象者へ送り付け、マルウェアへ感染させる
  • メールに記載のURLから悪意あるWebサイトへ誘導し、マルウェアに感染させる
  • メールに記載のURLからフィッシング用のWebサイトへ誘導し、サイトを使って情報を略取する

​マルウェアに感染させた後は、マルウェアが外部と通信を行い、ネットワークへの不正アクセスや社外への情報送信を行い、さらなる攻撃に繋がります。 
フィッシングサイトに誘導された場合には、フィッシングサイトから重要な情報やパスワードが詐取され、さらなる被害に繋がってしまいます。 

標的型攻撃の由縁

​標的型攻撃と呼ばれる由縁は、ターゲット(標的)についてあらかじめ入念に調べ、業務内容など環境に合わせたソーシャルエンジニアリング的手法を用いることです。ターゲットの業務内容を把握し、業務に関連のあるような内容のメールを送信して攻撃の精度をあげています。 

ソーシャルエンジニアリングについては、こちらの記事も参照ください。

​無差別にメールをばら撒いて、引っかかった相手をターゲットとする手口とは一線を画すものです。 

標的型攻撃の被害

標的型攻撃によりマルウェアに感染した場合、マルウェアの多くは感染端末の外部と通信を行います。企業などの組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げる振る舞いをしながら、継続的に情報を外部のサイバー犯罪者の元に送信し、情報漏えいが発生します。 

組織内部の機密情報を盗まれたり、あらたなマルウェアへの感染、システムやデータの改ざん、破壊活動といったリスクがあります。 
フィッシングにより情報を略取された場合にも、その情報を利用して被害を拡げられてしまいます。​ 

標的型攻撃メールの事例とは

標的型攻撃メールについて、その事例を紹介します。 

オペレーションオーロラ

Operation Aurora(オペレーションオーロラ、オーロラ作戦)は米Google、Adobe、Symantec、Yahoo!などの企業に対して行われたサイバー攻撃です。2010年1月にGoogleによって最初に報告されており、Microsoft社のInternet Explorerの未知の脆弱性を突いてマルウェアへの感染をさせるものでした。 

その攻撃の糸口となったのは、関係者を装ったメール内に記載されたURLのクリックにより攻撃用のWebサイトにジャンプしマルウェアに感染するというもの。メールは対象者にあわせた内容となっており、標的型攻撃メールの代表的な事例といえます。

​攻撃元は中国のサイバー犯罪者集団といわれており、30社以上が攻撃を受けたとされています。知的財産の詐取などの被害が出ており、Webメールのアカウント情報の流出も発生しました。​ 

Googleの中国本土でのWeb検索サービスからの撤退などに大きな影響を及ぼしています。

日本年金機構

2015年、日本年金機構は125万人の個人情報の流出したことを報告しました。 

2015年5月8日から18日の間に、業務用メールアドレスと職員個人の業務用メールアドレス宛に標的型攻撃メールが124通送られました。そのうち5通に対し添付ファイルを開いたり、URLへのリンクをクリックしてファイルをダウンロードしてしまったと報告しています。これが発端となり、サイバー犯罪者の侵入を許し、外部からの操作や不審な通信が行われる事態となりました。 

​この攻撃における標的型攻撃メールでは、特定の拠点の職員を狙い、実在の職員の名前や業務に関係する内容を記載するなど、巧妙な手口が取られていました。

JTB

​2016年6月、旅行業大手JTBは、取引先を装った標的型攻撃メールによりウイルス感染したことが発端となり、顧客の個人情報の流出が発生したことを発表しました。793万人にも及ぶパスポート番号も含む個人情報の流出は、被害の大きさからもインパクトの大きいものでした。  

公安調査庁による報告より

近年では新型コロナウイルスに関係した内容や、直接的に金銭を狙った銀行への攻撃などが確認されており、公安調査庁による注意喚起もなされています。 

重要 医療分野が標的に

  • 新型コロナウイルス感染症への対応に関与する医療機関、製薬会社、研究機関などを標的とする攻撃が活発
  • 感染拡大によって、新型コロナウイルス感染症関連の情報収集に対する関心が高まった可能性

    米国CISA・英国NCSC共同アラート
    新型コロナウイルス感染症の感染拡大下では、引き続き医療分野が標的となる可能性

バングラデシュ中央銀⾏における不正送⾦事案(2016年)
バングラデシュ中央銀行が標的型メール攻撃を受け、国際銀行間通信協会(SWIFT)システムを 通じて米国ニューヨーク連邦準備銀行に不正な送金指図が送信された結果、バングラデシュから 他のアジア諸国の口座への不正送金が実行。被害額は約8,100万ドルに上る模様

​公安調査庁「サイバー空間における脅威の概況2021」引用

標的型攻撃メールのサンプル

本項では標的型攻撃メールのサンプルとして、メールのテーマや文面について記載しています。

標的型攻撃メールのテーマについて

標的型攻撃メールのテーマとしてよく利用されるパターンとして下記があげられます。 

  • 心当たりはないが、確認せざるを得ない内容
    ex.仕事の依頼、就職に関する問い合わせ、製品に関する問い合わせやクレーム、アンケート調査
  • 興味をそそられる内容
  • 公的機関のお知らせを装ったもの
    ex.新型コロナウイルス関連のお知らせ、災害情報
  • 会社組織の全体案内を装ったもの
    ex.人事移動情報、事業方針の連絡
  • 決済や配送業者を装ったもの
    ex.宅配業者からの連絡、ECサイトからの通知
  • 利用者の多いサービスを装ったもの
    ex.Amazon、Google、Microsoft

標的型攻撃メール文面のサンプル

人事担当者に向けた採用応募者を装ったメール

標的型攻撃メールではメールの受信者を想定し、業務に関するメールを装うことがあります。

ご担当様

XX社の○○です。

採用に関する書類についての質問です。
こちらから提出ができますでしょうか。

ご担当様

XX社の○○です。

ご返信ありがとうございます。
それでは前記の件、添付いたします。 

セキュリティに関する注意を装ったメール

IPAなどの機関を装い、注意喚起などに見せかけたメールが送られることもあります。

Microsoft Officeの脆弱性修正について(MS14-XXXX)(CVE-XXXX)

日本マイクロソフト社のMicrosoft Officeにリモートコードが実行される等の脆弱性が存在します。
・・・・・
日本マイクロソフト社からの情報
http://XXXXX.XXXX.com/XX/XXXX

まとめ

標的型攻撃メールの精度は時間の経過とともに高まりを見せており、メールの内容や送信元のチェック、添付ファイルやリンクを安易に開かないというメール受信者の対応が必要です。 

また、セキュリティソフトの導入やソフトウェア更新の適用なども確実に行っておくべき対処となります。 

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました